Recopila registros del interruptor Aruba

Compatible con:

Este analizador extrae campos de los mensajes de syslog del interruptor Aruba con patrones de grok y los asigna al modelo de UDM. Controla varios campos, como marcas de tiempo, nombres de host, nombres de aplicaciones, IDs de procesos, IDs de eventos y descripciones, y propaga los campos de la AUA relevantes. El tipo de evento se establece en función de la presencia de información principal.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de tener Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso de administrador al interruptor Aruba.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

  1. Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede a la máquina en la que está instalado BindPlane.
  2. Edita el archivo config.yaml de la siguiente manera:

      receivers:
          tcplog:
              # Replace the below port <54525> and IP <0.0.0.0> with your specific values
              listen_address: "0.0.0.0:54525" 
    
      exporters:
          chronicle/chronicle_w_labels:
              compression: gzip
              # Adjust the creds location below according the placement of the credentials file you downloaded
              creds: '{ json file for creds }'
              # Replace <customer_id> below with your actual ID that you copied
              customer_id: <customer_id>
              endpoint: malachiteingestion-pa.googleapis.com
              # You can apply ingestion labels below as preferred
              ingestion_labels:
              log_type: SYSLOG
              namespace: aruba_switch
              raw_log_field: body
      service:
          pipelines:
              logs/source0__chronicle_w_labels-0:
                  receivers:
                      - tcplog
                  exporters:
                      - chronicle/chronicle_w_labels
    
  3. Reinicia el agente de BindPlane para aplicar los cambios:

    sudo systemctl restart bindplane
    

Configura Syslog en el interruptor Aruba

  1. Conéctate al interruptor Aruba a través de Console:

      ssh admin@<switch-ip>
    
  2. Conéctate al interruptor Aruba a través de una interfaz web:

    • Ve a la GUI web del interruptor Aruba.
    • Autentícate con las credenciales de administrador del interruptor.
  3. Habilita Syslog con la configuración de la CLI:

    • Ingresa al modo de configuración global:

      configure terminal
      
    • Especifica el servidor syslog externo:

      logging <bindplane-ip>:<bindplane-port>
      
    • Reemplaza <bindplane-ip> y <bindplane-port> por la dirección de tu agente de bindplane.

  4. Opcional: Establece el nivel de gravedad de registro:

      logging severity <level>
    
  5. Opcional: Agrega un identificador (etiqueta) personalizado de la fuente de registros:

      logging facility local5
    
  6. Guarda la configuración:

      write memory
    
  7. Habilita Syslog con la configuración de la interfaz web:

    • Accede a la interfaz web del interruptor Aruba.
    • Ve a Sistema > Registros > Syslog.
    • Agrega los parámetros del servidor de syslog:
    • Ingresa la dirección IP de Bindplane.
    • Ingresa el puerto de Bindplane.
    • Establece el nivel de gravedad para controlar la verbosidad de los registros.
    • Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
app principal.application El valor del campo app del registro sin procesar se asigna directamente a principal.application.
description security_result.description El valor del campo description del registro sin procesar se asigna directamente a security_result.description.
event_id additional.fields.key La cadena "event_id" se asigna a additional.fields.key.
event_id additional.fields.value.string_value El valor del campo event_id del registro sin procesar se asigna directamente a additional.fields.value.string_value.
host principal.asset.hostname El valor del campo host del registro sin procesar se asigna directamente a principal.asset.hostname.
host principal.hostname El valor del campo host del registro sin procesar se asigna directamente a principal.hostname.
pid principal.process.pid El valor del campo pid del registro sin procesar se asigna directamente a principal.process.pid.
ts metadata.event_timestamp El valor del campo ts del registro sin procesar se convierte en una marca de tiempo y se asigna a metadata.event_timestamp. La marca de tiempo también se usa para el campo timestamp de nivel superior en la UDM. metadata.event_type se establece en "STATUS_UPDATE" porque la variable principal_mid_present se establece en "true" en el analizador cuando el campo host está presente en el registro sin procesar. La cadena "ARUBA_SWITCH" se asigna a metadata.product_name dentro del analizador. La cadena "ARUBA SWITCH" se asigna a metadata.vendor_name dentro del analizador. El analizador intenta extraer y analizar el usuario-agente del registro sin procesar con client.userAgent.rawUserAgent. Si se realiza correctamente, el usuario-agente analizado se asigna a network.http.parsed_user_agent. Sin embargo, como los registros sin procesar proporcionados no contienen este campo, es probable que este campo de la UDM esté vacío. El analizador intenta extraer el usuario-agente sin procesar del registro sin procesar con client.userAgent.rawUserAgent. Si se realiza correctamente, el usuario-agente sin procesar se asigna a network.http.user_agent. Sin embargo, como los registros sin procesar proporcionados no contienen este campo, es probable que este campo de la UDM esté vacío.

Cambios

2024-04-18

  • Sin embargo, el analizador se creó recientemente.